EU AI Act Article 12 — מה זה אומר לסטארטאפ ישראלי
אם הסטארטאפ שלכם מוכר ללקוחות באירופה, או עובד עם שותפים שמוכרים לאירופה — EU AI Act חל עליכם. באוגוסט 2026, Article 12 נכנס לאכיפה מלאה. הנה מה שצריך לדעת ואיך לעמוד בזה.
מה זה EU AI Act?
EU AI Act (Regulation 2024/1689) הוא החוק הראשון בעולם שמסדיר בינה מלאכותית בצורה כוללת. הוא קובע רמות סיכון שונות למערכות AI — מ"לא מסוכן" (כמו ספאם-פילטר) ועד "אסור" (כמו social scoring ממשלתי). ככל שהסיכון גבוה יותר, הדרישות מחמירות.
רוב הסטארטאפים הישראליים לא נופלים בקטגוריה של "אסור". הם נופלים בקטגוריה של "בסיכון גבוה" (high-risk), שכוללת מערכות שמשפיעות על:
- זכויות אדם (אשראי, העסקה, ביטוח)
- בריאות (אבחון, טיפול, מרשם)
- בטיחות (תחבורה, תשתית, רכב אוטונומי)
- שירותים ציבוריים (מערכת המשפט, רווחה)
- זיהוי ביומטרי
מה דורש Article 12?
Article 12 (Article 12 — Record-keeping) מתמקד בתיעוד. זה הסעיף שמשפיע ישירות על כל מי שמפעיל מערכת AI בסיכון גבוה:
1. רישום אוטומטי של פעולות
Automatic logging — כל פעולה של המערכת חייבת להירשם באופן אוטומטי, לאורך כל מחזור החיים שלה. ההגדרה של "פעולה" היא רחבה: קלט, פלט, קריאות API, החלטות, אינטראקציות.
2. שמירת לוגים לתקופה מינימלית
הלוגים חייבים להישמר לתקופה שלא תקצר מ-6 חודשים. הרבה חברות שומרות לוגים ל-30 יום, מה שלא מספיק ל-Article 12. צריך גם לתכנן retention לתקופות ארוכות יותר עבור תעשיות רגולטוריות (בריאות, פיננסים).
3. Traceability מלאה
צריך להיות אפשר לעקוב אחר כל החלטה מקלט ועד פלט. מה היו הנתונים, איזה גרסה של המודל רץ, מה היו הפרמטרים, מה היו התוצאות הביניים. לא מספיק "ה-AI החליט X" — צריך להראות למה.
4. Tamper-Evident Storage
הלוגים חייבים להיות חסיני שיבוש. אם מישהו שינה רשומה אחרי שנכתבה, זה צריך להיות ניתן לזיהוי. במילים פשוטות: hash chain עם חתימה דיגיטלית.
5. נגישות לרשויות
הלוגים צריכים להיות נגישים לרשויות פיקוח כשהן מבקשות. זה לא אומר public — זה אומר שצריך להיות תהליך מובנה של "לחיצת כפתור → bundle חתום → שליחה לרגולטור".
"High-risk AI systems shall be designed and developed with capabilities enabling the automatic recording of events ('logs') over the lifetime of the system. The logs shall be kept for a period appropriate to the intended purpose of the high-risk AI system, of at least 6 months."
— EU AI Act, Article 12 (1)
מי חייב לעמוד בזה?
כל מי שמציע מוצרים או שירותים שכוללים AI בסיכון גבוה ב-EU. זה כולל:
- ✅ סטארטאפים ישראליים שמוכרים ללקוחות בגרמניה, צרפת, הולנד, איטליה, ספרד, וכו׳
- ✅ סטארטאפים שעובדים עם שותפים אירופיים (resellers, integrators)
- ✅ סטארטאפים שמוכרים לבנקים אירופיים, ביטוח, בריאות — גם אם לא באירופה
- ✅ חברות ישראליות שמשתמשות ב-AI של ספקים אירופיים (downstream liability)
מתי זה נכנס לתוקף?
בשלבים. Article 12 נכנס לאכיפה מלאה באוגוסט 2026 — זה אומר שיש לכם בדיוק חודשיים אחרי היום הזה לעמוד בזה. אחרי התאריך הזה, אי-עמידה היא עבירה אזרחית.
מה הקנסות?
עד 15 מיליון אירו או 3% מהמחזור השנתי העולמי, הגבוה מביניהם.
עבור רוב הסטארטאפים, הסכום היחסי (3% מהמחזור) יהיה קטן יותר מ-15M. אבל 3% מהמחזור על אי-עמידה ב-EU AI Act היא סכום שמחסל סטארטאפ ברגע.
איך AI Integrity עוזר?
AI Integrity נבנה בדיוק עבור Article 12. הנה איך הוא עונה על כל אחת מהדרישות:
1. Automatic Logging
3 שורות Python וכל החלטה אוטומטית של ה-AI agent נרשמת — קלט, פלט, היגיון, חותמת זמן, מזהה סוכן. בלי לכתוב שורה אחת של logging code.
2. 6+ Months Retention
ה-DB שלנו תומך ב-retention policies מובנים. ברירת המחדל היא 7 שנים (מתאים לתעשיות מרובות-רגולציה), אבל אפשר להגדיר 6 חודשים לפי הצורך.
3. Traceability
כל אירוע כולל metadata מלא: איזה agent, איזה גרסה, אילו קלטים, מה היו פעולות הביניים. אפשר לשחזר כל החלטה מקלט ועד פלט.
4. Tamper-Evidence
SHA-256 hash chain — כל רשומה מקושרת לקודמתה. שינוי אחד בעבר = שרשרת שבורה = זיהוי מיידי. מתמטית מוכח, לא הצהרה.
5. Bundle for Authorities
Evidence bundle חתום ב-Ed25519 — קובץ ZIP שמכיל את כל הלוגים, ההוכחה, והסיכום. הרגולטור יכול לאמת את החתימה בלי להתקין שום דבר. זה בדיוק מה ש-Article 12 דורש.
מה ההבדל בין EU AI Act ל-GDPR?
GDPR מסדיר איך מעבדים מידע אישי. EU AI Act מסדיר איך בונים ומפעילים מערכות AI. הם לא סותרים, הם משלימים:
- GDPR דורש הסכמה, מינימום נתונים, מחיקה. קנס: עד 4% מהמחזור.
- EU AI Act דורש תיעוד, תיקוף, פיקוח. קנס: עד 3% מהמחזור.
- במערכת AI שמעבדת מידע אישי, שניהם חלים.
הקנס המצטבר יכול להגיע ל-7% מהמחזור — לא תרחיש סביר לסטארטאפ, אבל גם לא בלתי-אפשרי.
שאלות נפוצות
מתחילים עם AI Integrity
3 שורות Python. תאימות מלאה ל-EU AI Act Article 12, תיקון 13, והוראה 369. קוד פתוח (MIT).
לקוד ב-GitHub ←